新網(wǎng)isp系統(tǒng)安全建設(shè)方案

新網(wǎng) ISP 系統(tǒng)安全建設(shè)方案1摘要本方案針對 ISP、ASP 系統(tǒng)的特點及其整體網(wǎng)絡(luò)結(jié)構(gòu)，提供網(wǎng)絡(luò)安全問題的整體解決方案。方案共分三章，第一章分析了新網(wǎng) ISP 系統(tǒng)的網(wǎng)絡(luò)安全需求，并提出了針對該網(wǎng)絡(luò)安全體系模型；第二章分析了目前實現(xiàn)安全體系的成熟技術(shù)；第三章分析了目前市場上的主要產(chǎn)品及如何使用以上產(chǎn)品建設(shè)新網(wǎng) ISP 系統(tǒng)的安全體系。第一章 平臺安全體系概述Web Server 是企業(yè)對外宣傳、開展業(yè)務(wù)的重要基地。由于其重要性，成為Hacker 攻擊的首選目標(biāo)之一。Web Server 經(jīng)常成為 Internet 用戶訪問公司內(nèi)部資源的通道之一，如 Web server 通過中間件訪問主機系統(tǒng)，通過數(shù)據(jù)庫連接部件訪問數(shù)據(jù)庫，利用 CGI 訪問本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。但 Web 服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來越多。為了防止 Web 服務(wù)器成為攻擊的犧牲品或成為進(jìn)入內(nèi)部網(wǎng)絡(luò)的跳板，我們需要給予更多的關(guān)心通過以下的分析，我們提供的解決方案力圖從網(wǎng)絡(luò)安全的威脅及管理入手，在網(wǎng)絡(luò)的各個層次上提供全面的解決方案。1.1 安全威脅自信息發(fā)布系統(tǒng)開始運行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。根據(jù)美國 FBI 的調(diào)查，美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟損失超過 170 億美元。信息發(fā)布系統(tǒng)(WEB 站點)可能存在的安全威脅來自以下方面：(1) 操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX 服務(wù)器，NT 服務(wù)器及 Windows 桌面 PC。(2) 防火墻的安全性。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要經(jīng)過檢驗。(3) 來自內(nèi)部網(wǎng)用戶的安全威脅。(4) 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性。(5) 采用的 TCP/IP 協(xié)議族軟件，本身缺乏安全性。(6) 未能對來自 Internet 的電子郵件夾帶的病毒及 Web 瀏覽可能存在的Java/ActiveX 控件進(jìn)行有效控制。(7) 應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失。1.2 平臺安全的需求對于各科各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的2同時，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段，是本項目需要解決的問題。ISP、ASP 系統(tǒng)網(wǎng)絡(luò)基本安全要求：(1) 網(wǎng)絡(luò)正常運行。在受到攻擊的情況下，能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運行。(2) 網(wǎng)絡(luò)管理/網(wǎng)絡(luò)部署的資料不被竊取。(3) 具備先進(jìn)的入侵檢測及跟蹤體系。(4) 提供靈活而高效的內(nèi)外通訊服務(wù)。1.3 平臺安全的體系結(jié)構(gòu)網(wǎng)絡(luò)的安全涉及到平臺的各個方面。按照網(wǎng)絡(luò) OSI 的 7 層模型，網(wǎng)絡(luò)安全貫穿于整個 7 層模型。針對網(wǎng)絡(luò)實際運行的 TCP/IP 協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的 4 個層次。平臺安全的層次模型下圖表示了對應(yīng)網(wǎng)絡(luò)的安全體系層次模型：圖 1-1 安全體系層次模型物理層的安全物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等）鏈路層的安全鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分 VLAN（局域網(wǎng)） 、加密通訊（遠(yuǎn)程網(wǎng)）等手段。網(wǎng)絡(luò)層的安全網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽。操作系統(tǒng)的安全操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計。應(yīng)用平臺的安全應(yīng)用平臺指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)器、電子郵會話層應(yīng)用層應(yīng)用系統(tǒng)應(yīng)用平臺網(wǎng)絡(luò)層鏈路層物理層會話安全應(yīng)用層應(yīng)用系統(tǒng)安全應(yīng)用平臺安全安全路由/訪問機制鏈路安全物理層信息安全3件服務(wù)器、Web 服務(wù)器等。由于應(yīng)用平臺的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)（如 SSL 等)來增強應(yīng)用平臺的安全性。應(yīng)用系統(tǒng)的安全應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的-為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計和實現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺提供的安全服務(wù)來保證基本安全，如通訊內(nèi)容安全，通訊雙方的認(rèn)證，審計等手段。41.4 全方位的安全體系與其它安全體系（如保安系統(tǒng)）類似，信息發(fā)布系統(tǒng)(WEB 站點)的安全休系應(yīng)包含：(1) 訪問控制。通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。(2) 檢查安全漏洞。通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。(3) 攻擊監(jiān)控。通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等） 。(4) 認(rèn)證。良好的認(rèn)證體系可防止攻擊者假冒合法用戶。(5) 備份和恢復(fù)。良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。(6) 多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。(7) 隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。(8) 設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護(hù)及緊急情況服務(wù)。1.5 平臺安全的管理因素平臺安全可以采用多種技術(shù)來增強和執(zhí)行。但是，很多安全威脅來源于管理上的松懈及對安全威脅的認(rèn)識。安全威脅主要利用以下途徑：(1)系統(tǒng)實現(xiàn)存在的漏洞。(2)系統(tǒng)安全體系的缺陷。(3)使用人員的安全意識薄弱。(4)管理制度的薄弱。良好的平臺管理有助于增強系統(tǒng)的安全性：(1)及時發(fā)現(xiàn)系統(tǒng)安全的漏洞。(2)審查系統(tǒng)安全體系。(3)加強對使用人員的安全知識教育。(4)建立完善的系統(tǒng)管理制度。5第二章 安全及監(jiān)控體系的實現(xiàn)技術(shù)基于以上的分析，信息發(fā)布系統(tǒng)(WEB 站點)涉及到各方面的網(wǎng)絡(luò)安全及管理問題，我們認(rèn)為整個信息發(fā)布系統(tǒng)(WEB 站點)的運行體系必須集成多種安全技術(shù)及管理實現(xiàn)。如防火墻技術(shù)，入侵監(jiān)控技術(shù)、安全漏洞掃描技術(shù)、故障性能管理技術(shù)、專家分析系統(tǒng)技術(shù)等。2.1 防火墻枝術(shù)防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。2.1.1 使用 Firewall 的益處 保護(hù)脆弱的服務(wù)通過過濾不安全的服務(wù)，F(xiàn)irewall 可以極大地提高網(wǎng)絡(luò)安全和減少主機的風(fēng)險。例如，F(xiàn)irewall 可以禁止 NIS、NFS 服務(wù)通過，F(xiàn)irewall 同時可以拒絕源路由和 ICMP 重定向封包。 控制對系統(tǒng)的訪問Firewall 可以提供對系統(tǒng)的訪問控制。 集中的安全管理 增強的保密性使用 Firewall 可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如 Finger和 DNS。 記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)Firewall 可以記錄和統(tǒng)計通過 Firewall 的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall 可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。 策略執(zhí)行Firewall 提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。2.1.2 設(shè)置 Firewall 的要素 網(wǎng)絡(luò)策略影響 Firewall 系統(tǒng)設(shè)計、安裝和使用的網(wǎng)絡(luò)策略可分為兩級，高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級的網(wǎng)絡(luò)策略描述6Firewall 如何限制和過濾在高級策略中定義的服務(wù)。 服務(wù)訪問策略服務(wù)訪問策略集中在 Internet 訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP 連接等） 。服務(wù)訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚辜褐木W(wǎng)絡(luò)風(fēng)險和提供用戶服務(wù)之間獲得平衡。典型的服務(wù)訪問策略是：允許通過增強認(rèn)證的用戶在必要的情況下從 Internet 訪問某些內(nèi)部主機和服務(wù)；允許內(nèi)部用戶訪問指定的 Internet 主機和服務(wù)。 Firewall 設(shè)計策略Firewall 設(shè)計策略基于特定的 firewall，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計策略：(1) 允許任何服務(wù)除非被明確禁止；(2) 禁止任何服務(wù)除非被明確允許。通常采用第二種類型的設(shè)計策略。 增強的認(rèn)證許多在 Internet 上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機制。多年來，用戶被告知使用難于猜測和破譯的口令，雖然如此，攻擊者仍然在Internet 監(jiān)視偉輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機制形同虛設(shè)。增強的認(rèn)證機制包含智能卡，認(rèn)證令牌，生理特征(指紋)以及基于軟件(RSA)等技術(shù)，來克服傳統(tǒng)口令的弱點。雖然存在多種認(rèn)證技術(shù)，它們均使用增強的認(rèn)證機制產(chǎn)生難于被攻擊者重用的口令和密鑰。目前許多流行的增強認(rèn)證機制使用一次有效的口令和密鑰(如 SmartCard 和認(rèn)證令牌)。2.1.3 Firewall 的基本分類 包過濾IP 包過濾： 源 IP 地址； 目的 IP 地址； TCP/UDP 源端口； TCP/UDP 目的端口。包過濾路由器存在許多弱點： 包過濾規(guī)則難于設(shè)置并缺乏已有的測試工具驗證規(guī)則的正確性(手工測試除外)。一些包過濾路由器不提供任何日志能力，直到闖入發(fā)生后，危險的封包才可能檢測出來。 實際運行中，經(jīng)常會發(fā)生規(guī)則例外，即要求允許通常情況下禁止的訪問通過。但是，規(guī)則例外使包過濾規(guī)則過于復(fù)雜而難以管理。例如，定義規(guī)則-禁止所有到達(dá)(Inbound)的端口 23 連接(telnet)，如果某些系統(tǒng)需7要直接 Telnet 連接，此時必須為內(nèi)部網(wǎng)的每個系統(tǒng)分別定義一條規(guī)則。 某些包過濾路由器不支持 TCP/UDP 源端口過濾，可能使過濾規(guī)則集更加復(fù)雜，并在過濾模式中打開了安全漏洞。如 SMTP 連接源端口是隨機產(chǎn)生的(1023)，此時如果允許雙向的 SMTP 連接，在不支持源端口過濾的路由器上必須定義一條規(guī)則：允許所有1023 端口的雙向連接。此時用戶通過重新映射端口，可以繞過過濾路由器。 對許多 RPC(Remoute Procedure Call 服務(wù)進(jìn)行包過濾非常困難。由于RPC 的 Listen 口是在主機啟動后隨機地分配的，要禁止 RPC 服務(wù)，通常需要禁止所有的 UDP(絕大多數(shù) RPC 使用 UDP)，如此可能需要允許的 DNS連接就會被禁止。 應(yīng)用網(wǎng)關(guān)為了解決包過濾路由器的弱點，F(xiàn)irewall 要求使用軟件應(yīng)用來過濾和傳送服務(wù)連接（如 Telnet 和 Ftp)。這樣的應(yīng)用稱為代理服務(wù)，運行代理服務(wù)的主機被稱為應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)和包過濾器混合使用能提供比單獨使用應(yīng)用網(wǎng)關(guān)和包過濾器更高的安全性和更大的靈活性。應(yīng)用網(wǎng)關(guān)的優(yōu)點是： 比包過濾路由器更高的安全件。 提供對協(xié)議的過濾，如可以禁止 FTP 連接的 Put 命令。 信息隱藏，應(yīng)用網(wǎng)關(guān)為外部連接提供代理。 健壯的認(rèn)證和日志。 節(jié)省費用，第三方的認(rèn)證設(shè)備(軟件或硬件)只需安裝在應(yīng)用網(wǎng)關(guān)上。 簡化和靈活的過濾規(guī)則，路由器只需簡單地通過到達(dá)應(yīng)用網(wǎng)關(guān)的包并拒絕其余的包通過。應(yīng)用網(wǎng)關(guān)的缺點在于： 新的服務(wù)需要安裝新的代理服務(wù)器。 有時需要對客戶軟件進(jìn)行修改。 可能會降低網(wǎng)絡(luò)性能。 應(yīng)用網(wǎng)關(guān)可能被攻擊。 線路級網(wǎng)關(guān)線路級網(wǎng)關(guān)提供內(nèi)部網(wǎng)和外部網(wǎng)連接的中繼，但不提供額外的處理和過濾能力。 Stateful 防火墻該類防火墻綜合了包過濾防火墻及應(yīng)用網(wǎng)關(guān)的特性。能夠提供比應(yīng)用網(wǎng)關(guān)更多的連接特性，但是安全性比較應(yīng)用網(wǎng)關(guān)差。2.1.4 建設(shè) Firewall 的原則分析安全和服務(wù)需求以下問題有助于分析安全和服務(wù)需求：8 計劃使用哪些 Internet 服務(wù)(如 http，ftp，gopher)，從何處使用Internet 服務(wù)(本地網(wǎng)，撥號，遠(yuǎn)程辦公室)。 增加的需要，如加密或拔號接入支持。 提供以上服務(wù)和訪問的風(fēng)險。 提供網(wǎng)絡(luò)安全控制的同時，對系統(tǒng)應(yīng)用服務(wù)犧牲的代價。策略的靈活性Internet 相關(guān)的網(wǎng)絡(luò)安全策略總的來說，應(yīng)該保持一定的靈活性，主要有以下原因： Internet 自身發(fā)展非?？?，機構(gòu)可能需要不斷使用 Internet 提供的新服務(wù)開展業(yè)務(wù)。新的協(xié)議和服務(wù)大量涌現(xiàn)帶來新的安全問題，安全策略必須能反應(yīng)和處理這些問題。 機構(gòu)面臨的風(fēng)險并非是靜態(tài)的，機構(gòu)職能轉(zhuǎn)變、網(wǎng)絡(luò)設(shè)置改變都有可能改變風(fēng)險。遠(yuǎn)程用戶認(rèn)證策略 遠(yuǎn)程用戶不能通過放置于 Firewall 后的未經(jīng)認(rèn)證的 Modem 訪問系統(tǒng)。 PPP/SLIP 連接必須通過 Firewall 認(rèn)證。 對遠(yuǎn)程用戶進(jìn)行認(rèn)證方法培訓(xùn)。撥入 /撥出策略 撥入/撥出能力必須在設(shè)計 Firewall 時進(jìn)行考慮和集成。 外部撥入用戶必須通過 Firewall 的認(rèn)證。Information Server 策略 公共信息服務(wù)器的安全必須集成到 Firewall 中。 必須對公共信息服務(wù)器進(jìn)行嚴(yán)格的安全控制，否則將成為系統(tǒng)安全的缺口。 為 Information server 定義折中的安全策略允許提供公共服務(wù)。 對公共信息服務(wù)和商業(yè)信息(如 email)講行安全策略區(qū)分。Firewall 系統(tǒng)的基本特征 Firewall 必須支持 “禁止任何服務(wù)除非被明確允許”的設(shè)計策略。 Firewall 必須支持實際的安全政策，而非改變安全策略適應(yīng) Firewall。 Firewall 必須是靈活的，以適應(yīng)新的服務(wù)和機構(gòu)智能改變帶來的安全策略的改變。 Firewall 必須支持增強的認(rèn)證機制。 Firewall 應(yīng)該使用過濾技術(shù)以允許或柜絕對特定主機的訪問。 IP 過濾描述語言應(yīng)該靈活，界面友好，并支持源 IP 和目的 IP，協(xié)議類型，源和目的 TCP/UDP 口，以及到達(dá)和離開界面。 Firewall 應(yīng)該為 FTP、TELNET 提供代理服務(wù)，以提供增強和集中的認(rèn)證管理機制。如果提供其它的服務(wù)(如 NNTP，http 等)也必須通過代理服務(wù)器。9 Firewall 應(yīng)該支持集中的 SMTP 處理，減少內(nèi)部網(wǎng)和遠(yuǎn)程系統(tǒng)的直接連接。 Firewall 應(yīng)該支持對公共 Information server 的訪問，支持對公共Information server 的保護(hù)，并且將 Information server 同內(nèi)部網(wǎng)隔離。 Firewall 可支持對撥號接入的集中管理和過濾。 Firewall 應(yīng)支持對交通、可疑活動的日志記錄。 如果 Firewall 需要通用的操作系統(tǒng)，必須保證使用的操作系統(tǒng)安裝了所有己知的安全漏洞 Patch。 Firewall 的設(shè)計應(yīng)該是可理解和管理的。 Firewall 依賴的操作系統(tǒng)應(yīng)及時地升級以彌補安全漏洞。2.1.5 選擇防火墻的要點(1) 安全性：即是否通過了嚴(yán)格的入侵測試。(2) 抗攻擊能力：對典型攻擊的防御能力(3) 性能：是否能夠提供足夠的網(wǎng)絡(luò)吞吐能力(4) 自我完備能力：自身的安全性，F(xiàn)ail-close(5) 可管理能力：是否支持 SNMP 網(wǎng)管(6) VPN 支持(7) 認(rèn)證和加密特性(8) 服務(wù)的類型和原理(9) 網(wǎng)絡(luò)地址轉(zhuǎn)換能力2.2 入侵檢測技術(shù)利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠：(1) 入侵者可尋找防火墻背后可能敞開的后門。(2) 入侵者可能就在防火墻內(nèi)。(3) 由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短 hacker 入侵的時間。入侵檢測系統(tǒng)可分為兩類： 基于主機 基于網(wǎng)絡(luò)基于主機的入侵檢測系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等，并且提供對典型應(yīng)用的監(jiān)視如 Web 服務(wù)器應(yīng)10用?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，其基本模型如下圖示：圖 2-1 入侵檢測系統(tǒng)的基本模型上述模型由四個部分組成：(1) Passive protocol Analyzer 網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析器、將結(jié)果送給模式匹配部分并根據(jù)需要保存。(2) Pattern-Matching Signature Analysis 根據(jù)協(xié)議分析器的結(jié)果匹配入侵特征，結(jié)果傳送給 Countermeasure 部分。(3) countermeasure 執(zhí)行規(guī)定的動作。(4) Storage 保存分析結(jié)果及相關(guān)數(shù)據(jù)?；谥鳈C的安全監(jiān)控系統(tǒng)具備如下特點：(1) 精確，可以精確地判斷入侵事件。(2) 高級，可以判斷應(yīng)用層的入侵事件。(3) 對入侵時間立即進(jìn)行反應(yīng)。(4) 針對不同操作系統(tǒng)特點。 (5) 占用主機寶貴資源?；诰W(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)具備如下特點：(1) 能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動。Ethernet(i.e., store contentsof connectiondisk)(i.e., close connection)Countermeasure(C) Box(i.e.,detection of“phf”stringin session)Pattern-MatchingSignatureAnalysisStorage (D) Box(i.e, TCP Stream reconstruction)PassiveProtocolAnalysis11(2) 實時網(wǎng)絡(luò)監(jiān)視。(3) 監(jiān)視粒度更細(xì)致。(4) 精確度較差。(5) 防入侵欺騙的能力較差。(6) 交換網(wǎng)絡(luò)環(huán)境難于配置。選擇入侵監(jiān)視系統(tǒng)的要點是：(1) 協(xié)議分析及檢測能力。(2) 解碼效率(速度)。(3) 自身安全的完備性。(4) 精確度及完整度，防欺騙能力。(5) 模式更新速度。2.3 安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。安全掃描工具源于 Hacker 在入侵網(wǎng)絡(luò)系統(tǒng)時采用的工具。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。安全掃描工具通常也分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器。基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如 password 文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)?；诰W(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍(IP 地址或路由器跳數(shù))。網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：(1) 速度。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時。(2) 網(wǎng)絡(luò)拓?fù)?。通過 GUI 的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。(3) 能夠發(fā)現(xiàn)的漏洞數(shù)量。(4) 是否支持可定制的攻杰方法。通常提供強大的工具構(gòu)造特定的攻擊方法。因為網(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對相同協(xié)議的實現(xiàn)存在差別，所以預(yù)制的掃描方法肯定不能滿足客戶的需求。(5) 報告，掃描器應(yīng)該能夠給出清楚的安全漏洞報告。(6) 更新周期。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應(yīng)的改進(jìn)建議。安全掃描器不能實時監(jiān)視網(wǎng)絡(luò)上的入侵，但是能夠測試和評價系統(tǒng)的安全性，并及時發(fā)現(xiàn)安全漏洞。122.4 病毒防護(hù)病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為：(1 ) 通過 ftp，電子郵件傳播。(2) 通過軟盤、光盤、磁帶傳播。(3) 通過 Web 游覽傳播，主要是惡意的 Java 控件網(wǎng)站。(4) 通過群件系統(tǒng)傳播。病毒防護(hù)的主要技術(shù)如下：(1) 阻止病毒的傳播。在防火墻、代理服務(wù)器、SMTP 服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面 PC 安裝病毒監(jiān)控軟件。(2) 檢查和清除病毒。使用防病毒軟件檢查和清除病毒。(3) 病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。(4) 在防火墻、代理服務(wù)器及 PC 上安裝 Java 及 ActiveX 控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。第三章 安全及管理產(chǎn)品的解決方案安全技術(shù)和產(chǎn)品近幾年在市場上大量涌現(xiàn)，并開始成熟起來。本章給出了采用的主要產(chǎn)品的特征，并分析了安全體系與網(wǎng)絡(luò)系統(tǒng)及應(yīng)用系統(tǒng)的集成。3.1 安全體系采用的產(chǎn)品分析3.1.1 防火墻產(chǎn)品GauntletNetwork Associates 公司的網(wǎng)絡(luò)安全產(chǎn)品涉及到網(wǎng)絡(luò)安全的各個方面，從防火墻、防病毒、網(wǎng)絡(luò)安全掃描到網(wǎng)絡(luò)安全監(jiān)測等各個方面提供了網(wǎng)絡(luò)安全的全線產(chǎn)品。Network Associates 公司的 Gauntlet 是使用另一種技術(shù)原理的防火墻產(chǎn)品。Gauntlet 使用完全的代理服務(wù)方式提供廣泛的協(xié)議支持以及高速的吞吐能力(70Mbps)，很好的解決了安全、性能及靈活性的協(xié)調(diào)。由于完全使用應(yīng)用層的代理服務(wù)，Gauntlet 提供了該領(lǐng)域最安全的解決方案，13從而對訪問的控制更加細(xì)致。Gauntlet 通過對 IPSEC/ISAKMP/Oakly 的支持，使用 DES 及 Triple DES 提供了強大的 VPN 支持。特別是 X.509 V3 支持，使大型 VPN 的管理和認(rèn)證易于實現(xiàn)。Gauntlet 的 VPN 加密模塊支持 56bitDES 及 168bit Triple DES。如果選擇Recovery Key，美國以外的用戶也可購買 168 bit Triple DES 模塊。Gauntlet Global Virtual Private Network 4. 1 內(nèi)置了基于 PKI 的證書管理服務(wù)器。3.1.2 安全監(jiān)控產(chǎn)品CyberCop MonitorCyberCop Monitor 為美國網(wǎng)絡(luò)聯(lián)盟公司最新推出的新一代的基于主機(host-based)的侵入檢測系統(tǒng),它可對關(guān)鍵服務(wù)器提供了實時的保護(hù)。通過監(jiān)視來自網(wǎng)絡(luò)的攻擊、非法的闖入、異常進(jìn)程，CyberCop Monitor 能夠?qū)崟r地檢測出攻擊，并作出切斷服務(wù)/重啟服務(wù)器進(jìn)程/發(fā)出警報/記錄入侵過程等動作。對于安裝在 Web Server 上的 CyberCop Monitor,它還可以當(dāng) WEB 主頁的內(nèi)容被非法修改時,自動將原始 WEB 主頁的內(nèi)容恢復(fù),同時,它還具有先進(jìn)的 Fail-Close 功能。CyberCop Monitor 也可配置為分布式方式，由安裝在每臺服務(wù)器上的 agent進(jìn)行攻擊識別及動作執(zhí)行，Server 則完成管理和記錄工作。目前，CyberCop Monitor 可安裝在 NT 4.0、Solaris2.6 以上操作系統(tǒng)。3.1.3 安全掃描器CyberCop Scanner (Ballista 2.4) 是一套用于網(wǎng)絡(luò)安全掃描的軟件工具，由富有實際經(jīng)驗的安全專家開發(fā)和維護(hù)。該產(chǎn)品卓越的性能獲得了 Infoworld 的高度評價。具體的測試結(jié)論請參見附頁。CyberCop Scanner 具備以下突出的特征：(1) 強有力的內(nèi)置 Unix/NT 口令 Crack。(2) 功能強大的攻擊測試手段。CyberCop Scanner 提供了其它對手沒有的定制攻擊描述語言(CASL)及 Customer Audit Packet Engine(CAPE)。因此用戶可方便地定制自身的攻擊方法來測試系統(tǒng)的安全性。(3) 提供了強大的對 SNMP 設(shè)備及 NT 操作系統(tǒng)的薄弱點掃描。(4) 使用隱含端口掃描方式，大大提高掃描速度。(5) 提供了業(yè)界最快的安全漏洞升級。3.1.4 病毒防護(hù)系統(tǒng)病毒防護(hù)系統(tǒng)由 Total Virus Defense 套件組成，提供了病毒的檢測和清除、14診斷、安全、恢復(fù)和管理技術(shù)。Virus Scan - 全球領(lǐng)先的桌面反病毒產(chǎn)品。WebScanX - 保護(hù)系統(tǒng)免受惡意的 java 和 ActiveX 小程序的破壞。NetShield - 全球領(lǐng)先的服務(wù)器反病毒產(chǎn)品。WebShield - 全球領(lǐng)先的網(wǎng)關(guān)反病毒產(chǎn)品。Enterprise SecureCast - 自動發(fā)布病毒更新信息。Management Edition - 具備集中的管理、分發(fā)和警告功能。NAI 的 TVD 套件提供了全球最多的病毒類型檢測 (45000 種以上)，并且占領(lǐng)了全球 60%以上的市場。NAI 的 MacFee Labs 小組分別在六大洲進(jìn)行病毒研究，提供全天候的全球病毒研究。每發(fā)現(xiàn)一種新病毒，該病毒特征文件按小時在 Web 上發(fā)布。3.2 安全體系與系統(tǒng)的集成將以上的網(wǎng)絡(luò)安全產(chǎn)品結(jié)合起來，加上為用戶專門定制的安全策略和配置管理手段等，就形成了信息發(fā)布系統(tǒng)(WEB 站點)系統(tǒng)安全全面解決方案的框價。以上產(chǎn)品的基本功用可以概括為： 防火墻技術(shù)，主要針對來源于企業(yè)外部的攻擊，相當(dāng)于在企業(yè)網(wǎng)絡(luò)和外部網(wǎng)之間的安全屏障。 防病毒技術(shù)，防病毒技術(shù)是網(wǎng)絡(luò)安全技術(shù)中最為簡單的技術(shù)，但病毒的攻擊來源于多種方面，權(quán)威機構(gòu)的調(diào)查顯示，病毒的攻擊是造成網(wǎng)絡(luò)損失的主要原因。我們采用 NAI 的全面防病毒產(chǎn)品將提供從單機用戶到網(wǎng)絡(luò)用戶和互連網(wǎng)絡(luò)網(wǎng)絡(luò)用戶的全面病毒防護(hù)策略。 入侵檢測技術(shù)，入侵檢測技術(shù)主要提供對已經(jīng)入侵的訪問和試圖入侵的訪問進(jìn)行跟蹤、記錄和提供犯罪證據(jù)。 安全掃描技術(shù)，對網(wǎng)絡(luò)系統(tǒng)的各個環(huán)節(jié)包括操作系統(tǒng)到防火墻 等各個環(huán)節(jié)提供可靠的分析結(jié)果，并提供可靠和安全性分析報告等。通過以上的集成安全策略的實施，將達(dá)到確保信息發(fā)布系統(tǒng)(WEB 站點)的安全性。3.3 技術(shù)支持服務(wù)集成網(wǎng)絡(luò)安全系統(tǒng)的正常有效運行需要大量的技術(shù)支持保證。由于安全問題層出不窮，因此，購買了安全產(chǎn)品，還必須獲得供應(yīng)商及集成商能夠提供的持久的技術(shù)支持。金陵泰克將在以下方面給予技術(shù)支持：(1) 培訓(xùn)，包含網(wǎng)絡(luò)安全及管理理論及產(chǎn)品。(2) 設(shè)計，幫助客戶設(shè)計網(wǎng)絡(luò)安全系統(tǒng)。(3) 故障排除，24x7 的緊急服務(wù)幫助客戶排除故障及入侵跟蹤服務(wù)。15(4) 升級，每個月對網(wǎng)絡(luò)安全產(chǎn)品實行升級。(5) 咨詢，提供基于電話/傳真/電子郵件的咨詢。3.4 新網(wǎng) WEB 站點網(wǎng)絡(luò)安全解決方案方案一：網(wǎng)絡(luò)拓樸如圖一。新網(wǎng)計算機網(wǎng)絡(luò)有兩大部分組成：位于電報局的中心機房和位于公司的內(nèi)部網(wǎng)絡(luò)。中心機房主要提供與外界的連接，包括：虛擬主機、POP3 以及網(wǎng)上商場等。公司的內(nèi)部網(wǎng)絡(luò)主要提供公司管理和辦公自動化服務(wù)以及對中心機房的遠(yuǎn)程管理。中心機房通過租用電信部門的廣域網(wǎng)線路進(jìn)行連接，公司內(nèi)部通過電話線撥號接入 Internet。為了實現(xiàn)網(wǎng)絡(luò)訪問控制和數(shù)據(jù)安全，我們在中心機房設(shè)置 WebShield 300 e-ppliance 硬件防火墻 。WebShield 300 e-ppliance硬件防火墻的技術(shù)特點：1、 NAI 與SUN 公司合作生產(chǎn)的一款新型硬件防火墻，是結(jié)合美國兩大著名ITGauntlet FirewallGVPNInternetRemote UserRemote OfficeBusiness PartnerEmail RecipientWeb ServerDNS Server Application serverDatabaseDMZCyberCopScannerPGPCyberCop MonitorWebShield圖一16廠家的產(chǎn)品，同時為了減少 SUN Solaris 5.6 操作系統(tǒng)的安全漏洞，主要是拒絕服務(wù)攻擊，NAI 對 Solaris 5.6 進(jìn)行了重要編寫，達(dá)到了更高安全等級。2、 集中NAI 公司安全產(chǎn)品Gauntlet Firewall, Gauntlet VPN Server, WebShield。（1）Gauntlet Firewall for Solaris 版性能穩(wěn)定，此防火墻最初是應(yīng)美國軍方和政府要求設(shè)計的，在安全級別上要求很高，是應(yīng)用網(wǎng)關(guān)型防火墻，所有通過防火墻的IP 包都以代理服務(wù)方式實現(xiàn)，TCP/IP 協(xié)議中能體現(xiàn)對IP 包的操作功能都可控制，世界上公認(rèn)的最安全防火墻。（2） 、VPN Server 是 3DES 加密算法，128 位密鑰，民用產(chǎn)品加密位數(shù)最高，為了進(jìn)一步提高速度，在不同的型號中，有的提供加密芯片，客戶端產(chǎn)品使用PGPnet，PGP 加密算法是世界聞名加密產(chǎn)品，Internet 網(wǎng)加密標(biāo)準(zhǔn)，Cisco加密路由器的客戶端產(chǎn)品就是使用的PGPnet，CA中心使用 128 位 NAI 公司Net Tools PKI Server，此產(chǎn)品直到去年 12 月份才允許向中國出口，安全級別很高，功能很強。（3） 、WebShield 是 NAI TVD 防病毒系列中，網(wǎng)關(guān)防病毒，是與防火墻結(jié)合使用的產(chǎn)品，可自動數(shù)據(jù)升級。WebShield 300 E-ppliance 是以上NAI 公司三個世界一流安全產(chǎn)品與SUN 公司的硬件Server 合一的產(chǎn)品，使硬件防火墻的安全等級提高到一個新的高度。3、 可遠(yuǎn)程控制在安裝后，可以通過Internet網(wǎng)遠(yuǎn)程控制。即：在家中、外地均可控制。非常有利于托管。4、 吞吐量 100M / 70M5、 聯(lián)接數(shù) 5600 HTTP新網(wǎng)計算機網(wǎng)絡(luò)中，中心機房、公司之間需要傳輸十分重要的用戶數(shù)據(jù)和管理文件，這對于公司的正常業(yè)務(wù)與管理致關(guān)重要，但是由于數(shù)據(jù)傳輸在公共通訊線路上，傳輸鏈路沒有任何保護(hù)措施，使得數(shù)據(jù)傳輸存在很大的危險。為確保數(shù)據(jù)傳輸?shù)陌踩煽?，我們使?VPN 技術(shù)連接網(wǎng)絡(luò)中各點，以增強網(wǎng)絡(luò)的安全。在中心機房設(shè)置防火墻，在公司安裝 VPN 客戶端，應(yīng)用 Gauntlet 防火墻的GVPN，通過制定詳細(xì)的安全策略加以過濾并隊通訊數(shù)據(jù)加密，確保通過公共通訊線路傳輸?shù)臄?shù)據(jù)的準(zhǔn)確性和可靠性此外，我們還可以在遠(yuǎn)程用戶的計算機上安裝 VPN 客戶端，確保用戶與主機之間的數(shù)據(jù)通訊安全可靠。另外，防火墻也是攻擊的對象，為了安全，我們推薦配備熱備份雙防火墻。還有，在各防火墻上會有完整的網(wǎng)絡(luò)訪問記錄。用戶可以定期查看日志文件，了解網(wǎng)絡(luò)運行情況，萬一發(fā)生意外，日志文件還可以提供追查的線索。漏洞掃描風(fēng)險評估工具CyberCop ScannerCyberCop Scanner 通過對網(wǎng)絡(luò)的掃描，可以發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)和配置方面的漏洞。CyberCop Scanner 可以進(jìn)行跨路由的掃描工作，網(wǎng)絡(luò)有了這樣的工具，就可以方便的了解網(wǎng)絡(luò)結(jié)構(gòu)的變化以及網(wǎng)絡(luò)的運行情況，同時可以發(fā)現(xiàn)自身以及網(wǎng)絡(luò)中存在的安全漏洞，及時加以彌補保證網(wǎng)絡(luò)的安全運行。Cybercop Scanner 功能特點及技術(shù)指標(biāo)如下： CyberCop 掃描器提供綜合的審計工具，發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全漏洞，保證網(wǎng)絡(luò)安全的完整性。它可以評估 Intranet、Web 服務(wù)器、防火墻、路由器，掃描和測試確定存在的可被黑客利用的脆弱性。 CyberCop 掃描器產(chǎn)生豐富的報表：HTML、ASCII、RTF、Comma Delimited。 17CyberCop 掃描器可以發(fā)現(xiàn)大眾化的安全漏洞和那些非大眾化的漏洞。它可以確定防火墻的第一條防護(hù)規(guī)則是否起作用，用獨特的定制審計包括引擎(CAPE)技術(shù)完成協(xié)議級 Spoofing 和攻擊模擬。CAPE 可提供動態(tài)工具集生成，解決特殊網(wǎng)絡(luò)情況。即使是一般的程序員也可用 CAPE 生成網(wǎng)絡(luò)級安全工具。 CyberCop 可以驗證存取路由器、過濾防火墻的完整性，也可用來檢查各種混合配置。 通過掃描網(wǎng)絡(luò)精確確定網(wǎng)絡(luò)中的情況和安全姿態(tài)，以及判斷是否滿足安全策略；容許集中審記整個網(wǎng)絡(luò)；初始網(wǎng)絡(luò)掃描完成后，日志用來與進(jìn)一步參照比較；而且自動安全掃描使企業(yè)為經(jīng)常性的審記只需花一次費用； 因此，我們將在中心機房設(shè)置一個 CyberCop Scanner，定期對整個或局部網(wǎng)絡(luò)進(jìn)行漏洞掃描，確保網(wǎng)絡(luò)處于安全、可靠的狀態(tài)。使用主機監(jiān)控技術(shù)保護(hù)重要主機計算機網(wǎng)絡(luò)設(shè)置了防火墻后可以解決多數(shù)網(wǎng)絡(luò)安全問題，但是防火墻不是萬能的，有些攻擊行為僅僅依靠防火墻是不能防范的。比如在重要主機運行的網(wǎng)段上通常連接著一些系統(tǒng)管理用工作站，如果攻擊行為從這些工作站上發(fā)起，那么對主機的訪問就不需要通過防火墻。又如某些用戶對主機具有較高的訪問權(quán)限，這些用戶登錄主機后，由于誤操作或惡意行為同樣會對主機上的數(shù)據(jù)造成破壞。因此，應(yīng)該在重要主機上安裝入侵檢測系統(tǒng)，避免以上情況的發(fā)生。具體到新網(wǎng)計算機網(wǎng)絡(luò)，我們建議在 DNS 服務(wù)器與數(shù)據(jù)庫服務(wù)器 上安裝 CyberCop Monitor實時入侵檢測系統(tǒng)。CyberCop Monitor 系統(tǒng)會監(jiān)視主機上的所有訪問行為，把這些行為與黑客攻擊信息庫中數(shù)據(jù)進(jìn)行比較。一旦發(fā)現(xiàn)有攻擊行為發(fā)生，CyberCop Monitor 系統(tǒng)會自動采取多種措施加以防范和報警，并且可以通過 NAI 特有的動態(tài)安全防護(hù)策略，控制防火墻等其他安全設(shè)備，關(guān)閉相關(guān)服務(wù)、直至切斷物理線路的連接， 。有了這道屏障，服務(wù)器可以受到更嚴(yán)密的保護(hù)。為了迷惑和追蹤非法訪問者，并記錄其入侵過程，我們在網(wǎng)絡(luò)中安裝了NAI的CyberCop Sting（誘騙攻擊） 。該軟件讓不法訪問網(wǎng)絡(luò)者（計算機竊賊）訪問到一個虛擬服務(wù)器上，并監(jiān)視其行動的工具。它可以在網(wǎng)絡(luò)上安置虛擬服務(wù)器以及路由器，為不法訪問留下記錄。在嵌入了 CyberCop Sting 的服務(wù)器里，除了服務(wù)器本身擁有的 IP 地址以外，還給每一臺虛擬服務(wù)器設(shè)定不同的 IP 地址。同時上游路由器的路徑選擇也隨之改變設(shè)定。一旦不法訪問者訪問虛擬服務(wù)器，CyberCop Sting 服務(wù)器就會模仿虛擬服務(wù)器以及 OS 做出響應(yīng)，不法網(wǎng)絡(luò)訪問者從網(wǎng)絡(luò)上看，就同路由器以及服務(wù)器真正存在一樣。采取了上述幾種網(wǎng)絡(luò)防護(hù)措施后，新網(wǎng)計算機網(wǎng)絡(luò)將能夠抵御來自網(wǎng)絡(luò)外部或內(nèi)部的非法訪問，大幅提高網(wǎng)絡(luò)的安全性。其他安全管理工具中心機房處于整個新網(wǎng)計算機網(wǎng)絡(luò)的核心位置，不但要管理自身的安全，同時還要管理網(wǎng)絡(luò)。因